安全网络建设项目技术建议书

*电业局安全存储网络建设技术建议书二零零九年十月目 录安全存储网络建设技术建议书11概述31.1项目建设背景需求31.1.1网络现状31.2网络建设目标31.3网络建设原则32整体方案设计42.1组网方案42.2方案建议及设备选型依据43网络解决方案53.1IP 地址规划53.2VLAN规划63.3路由规划63.4QOS 设计63.5设备介绍83.5.1S9300系列交换机系统特性83.5.2Oceanspace S2000系列存储系统164安全解决方案204.1安全体系层次设计204.1.1层次一：物理环境的安全性（物理层安全）204.1.2层次二：操作系统的安全性（系统层安全）204.1.3层次三：网络的安全性（网络层安全）204.1.4层次四：应用的安全性（应用层安全）214.1.5层次五：管理的安全性（安全管理）214.1.6总体部署214.2入侵检测系统部署224.2.1安全风险分析224.2.2安全风险解决224.2.3智能网络入侵检测设备234.2.4NIP 1000性能指标284.3终端安全管理系统部署304.3.1终端安全管理系统304.3.2安全监控功能334.3.3资产管理应用功能334.3.4安全接入控制网关应用344.3.5Secospace系统性能指标341 概述1.1 项目建设背景需求1.1.1 网络现状*电业局网络建设主要分为部办公网络和外部互联网络两部分，现有核心设备是用的是华为5500系列交换机，交换机使用年限已久，随着网络规模的不断扩大，现有网络接口已逐渐不能满足网络的需求；部服务器数量已达到10台左右，数据量增加的比较快，需要一套网络存储设备。部安全需要进一步的管理。1.2 网络建设目标为了提高整网核心的可靠性，设计考虑设备冗余（电源、超级引擎采用双配置），为整网提供更加稳定的网络服务。华为核心设备最多支持144个光接口，能够极满足现在及将来网络的需求。1.3 网络建设原则我单位针对*电业局存储及安全工程将采用华为先进的高端电信级设备作为构建网络的基础单元，建立一个高带宽、高可用性及高可靠性的数据网络，为县电业局业务系统提供强有力的保证，本次工程基于以下原则进行：综合性：将网络建设成为不仅支撑现有县电业局数据业务，而且支撑未来实时业务的综合业务传送平台。支持QOS：能根据业务的要求提供不同等级的服务并保证服务质量，提供资源预留，拥塞控制，报文分类，流量整形等强大的IP QOS功能。高可靠性：具有很高的容错能力，具有抵御外界环境和人为操作失误的能力，保证任何单点故障都不影响整个网络的正常运作。高性能：在高负荷情况下仍然具有较高的吞吐能力和效率，延迟低。安全性：具有保证系统安全，防止系统被人为破坏的能力。扩展性：易于增加新设备、新用户，易于和各种公用网络连接，随系统应用的逐步成熟不断延伸和扩充，充分保护现有投资利益。开放性：符合开放性规，方便接入不同厂商的设备和网络产品。标准化：通讯协议和接口符合国际标准。实用性：具有良好的性能价格比，经济实用，拓扑结构和技术符合骨干网信息量大、信息流集中的特点。2 整体方案设计2.1 组网方案出于安全性和稳定性的要求，工程中采用电信级核心层交换机从而提高整网结构的健壮性、可靠性，高效性。在存储方面采用华为2300的存储，可提供96T的存储容量，满足将来存储的需求。2.2 方案建议及设备选型依据根据*电业局数据库项目的技术规要求以及华为公司全系列数通产品及解决方案特点，本着满足业务优先、先进实用、平滑演进等原则，我单位选择华为公司在本期项目中建议的设备以及相关设备的建网方案优势如下：网络档次高、层次分明：采用最高能力交换机，按照网络层次依次选择合理产品，各层次产品之间系列化程度高，可靠性强。负载分担的网络：以最大化网络资源负载分担为原则，通过设备间链路的分配调整，实现网络资源合理分布，增加可靠性。安全的双平面的设计：本次为网络结构通过充分利用两期建设中的设备，充分保证网络安全备份及冗余性，整体提高网络的可靠性等级系数。 良好网络兼容性能：在现网大量的应用环境中，华为设备表现出与其他设备厂商良好的互通性，在各大电信运营商网络都有商用。优化的网络性能：华为建议的部署方案，能够保证网络在故障情况下快速实现业务流量疏导，提高整个网络质量，保证网络能够承载。多业务的IP网络：优化后的网络具备极强的可扩展性能，除了具备大流量承载能力，还可提供IPTV等多种业务。平滑的割接方案：华为公司有丰富的网络割接经验，可以保证网络调整到合理的结构，并保证现网业务尽可能的不受影响，保证平滑割接。平滑的向IPv6过渡：我单位本次采用的华为产品具备IPv6高性能转发，满足未来性能要求，并支持多种过渡解决方案，例如IPv4/IPv6双栈、多种过渡隧道等等，是业界过渡方案中最好的产品，能够极大方便实际网络IPv4-IPv6过渡的灵活性。3 网络解决方案3.1 IP 地址规划IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。需要在所分配的IP地址网段中尽可能地利用地址空间，充分考虑地址空间的合理使用，保证实现最佳的网络地址分配及业务流量的均匀分布。IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由政策有非常密切的关系，将*电业局业务工作的可用性、可靠性和有效性以及性产生显著影响。通常合理的地址规划是使连续的地址尽量集中在一个区域。因此，核心层应象一个区域或一个节点一样，被分配一段连续的地址。IP地址规划遵循以下原则：1. IP地址的规划与划分应该考虑到业务飞速发展，能够满足未来发展的需要；即要满足本期工程对IP地址的需求，同时要充分考虑未来业务发展，预留相应的地址段；2. IP地址的分配需要有足够的灵活性，能够满足各种用户接入；3. IP地址的分配可以采用VLSM技术，以保证IP地址的利用效率；4. 充分合理利用已申请的地址空间，提高地址的利用效率。3.2 VLAN规划VLAN（Virtual Local Area Network）又称虚拟局域网，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。从技术角度讲，VLAN的划分可依据不同原则，一般有以下三种划分方法： 1. 基于端口的VLAN划分 2. 基于MAC地址的VLAN划分 3. 基于路由的VLAN划分 而本期项目中以基于端口和基于路由的VLAN划分方法为主，除了公共VLAN，网管VLAN，关键领导VLAN等特殊网段，按照部门和单位进行其他VLAN网段的划分。3.3 路由规划在所建网络系统中将涉及*电业局部不同虚拟网络之间的路由转发以及与外网之间的互联，因此需要结合实际，在汇聚交换机对三层转发协议进行设置，由于通过VLAN隔离业务，在接入层交换机启用二层接入功能，网关设在汇聚交换机，VLAN终结于汇聚交换机。3.4 QOS 设计在传统的IP网络中，所有的报文都被无区别的等同对待，每个路由器对所有的报文均采用先入先出（FIFO）的策略进行处理，它尽最大的努力（best-effort）将报文送到目的地，但对报文传送的可靠性、传送延迟等性能不提供任何保证。随着IP技术的日趋成熟，IP网络电信化已经成为大势所趋，于是形成了语音、视频、数据等多种业务IP统一承载，由于语音、视频等实时业务自身的特点对承载平台提出了严格的服务质量要求，因此就必须在网络中部署相应的QoS技术，使得网络管理者能够有效地控制网络资源的使用，能够在有限资源的IP平台上综合语音、视频及数据等多种业务，能够区分业务、针对不同的业务提供特色的差分服务。QoS旨在针对各种应用的不同需求，为其提供不同的服务质量，例如：提供专用带宽、减少报文丢失率、降低报文传送时延及时延抖动等。为实现上述目的，QoS提供了下述功能：1. 报文分类和着色2. 避免和管理网络拥塞3. 流量监管和流量整形4. QoS信令协议在*电业局数据库项目网络构建中，将会设计合理的QOS保障方案，利用有限的资源，以获得更好的网络使用效益，是非常必要的。良好的QOS保障方案可以确保一般情况下网络具有最好的使用效率、实时业务具有较小延时，恶劣情况下保证关键业务得到应有的网络服务。衡量QoS的指标包括：带宽/吞吐量 - 指网络的两个节点之间特定应用业务流的平均速率；时延 - 指数据包在网络的两个节点之间传送的平均往返时间；抖动 - 指时延的变化；丢包率 - 指在网络传输过程中丢失报文的百分比，用来衡量网络正确转发用户数据的能力；可用性 - 指网络可以为用户提供服务的时间的百分比。在*电业局数据库项目网络中QOS方案部署如下：接入层交换机接入端口不同业务进行VLAN标记,并可以对报文进行802.1P优先级标记，以便后续的汇聚交换机和核心交换根据相应优先级标记（802.1P、DSCP）进行调度，当然还可以根据策略的需要部署CAR流量监管策略，对用户的接入速率进行控制，保证*电业局网网络始终处于健康（轻载）的运行状态。本次工程采用的S9300高端交换机均支持选择性SVLAN功能（灵活QinQ），可以在同一个物理端口上支持根据单层VLAN ID灵活加载外层VLAN ID，同时能够透传标准VLAN（单VLAN）流量。上述功能实现没有VLAN ID围数量的限制，对于设备性能没有影响。支持根据802.1p参数、入端口、入VLAN ID等条件进行双VLAN透传、双层VLAN改写外层VLAN、双层VLAN改写外层VLAN等并且支持在同一物理接口上对以上操作的并行处理。并支持TPID可配置，同时对设备性能没有影响S9300交换机提供完善的Diff-Serv/QoS支持。支持基于源端口、源VLAN ID、源MAC地址、报文种类、TCP/UDP端口号、IP报文地址前缀等多种流分类规则，提供多种规则组合条件下的流映射和分类、流量监管（CAR）、拥塞避免方法（WRED、Tail-Drop）、队列调度（WRR、SP）和输出流量整形等功能，支持802.1p 的8个优先级。完全做到业务区分并保证带宽/时延/抖动，可以为用户提供具有不同服务质量等级的服务保证，使IP网络真正成为同时承载数据、语音和视频业务的综合网络。3.5 设备介绍3.5.1 S9300系列交换机系统特性Quidway S9300系列以太汇聚交换机（以下简称S9300）是基于华为公司统一的VRP（Versatile Routing Platform）系统而推出的下一代以太网汇聚交换机，提供整机高达2T交换容量，二、三层线速转发能力，具备强大组播功能，EPON接口和完善的QoS保障，满足城域网、企业园区网对Multi-Play业务承载和全光接入的组网需求，为运营商和企业网提供强大的网络交换和业务运营能力，支持IP专线、VPN、IPTV、IPv6等多种业务。S9300系列包括S9303、S9306、S9312三个产品形态，整个系列秉承模块通用化、归一化的设计理念，最小化备件成本，在保证设备扩展性的同时最大限度地保护用户投资。S9303 S9306 S9312产品特点创新的三平面设计S9300在传统交换机数据转发、管理控制双平面基础上进行了创新，增加了独立的环境监控平面，率先实现整机三平面设计。业界首创的环境监控板，其核心芯片采用华为自主知识产权的中控芯片，实现硬件级的按流量动态调整功率、风扇分区控制、风扇智能调速、端口休眠技术等多项节能技术，独立环境监控与网管联动，实现整机运营维护的全面可视化管理。系统监控模块高速背板交换网模块控制面通讯模块系统时钟模块系统主控模块控制层软件业务层软件网管系统物理接口模块业务处理模块单板时钟模块单板主控模块单板监控模块业务模块交换路由模块管理层软件创新的三平面设计一机多用，全业务承载的以太汇聚平台S9300支持高密度的EPON接口，能实现DSLAM汇聚、EPON和纯以太的统一接入，满足全光接入的需求；分布式L2/L3 MPLS VPN功能，支持MPLS、VPLS、HVPLS、VLL，满足大客户VPN专线、企业VPN等高端用户的接入需求。S9300具备线速的跨VLAN组播复制能力，实现端口的满负荷复制，满足大容量的IPTV用户接入需求；完善的二、三层组播协议，可作为组播复制点和控制点。S9300支持IPv6功能，支持RIPng，OSPFv3，ISISv6，BGP4+，MLD，MLD Snooping，PIMv6，IPv6 multicast VLAN，ICMPv6等单/组播IPv6路由协议，实现网络IPv4向IPv6的平滑迁移。三维扩展，容量“无级变速”作为新一代的以太汇聚平台，S9300可以从容应对城域骨干网和大容量IDC对核心汇聚设备的带宽需求。S9300单槽位支持1210GE线速转发，整机支持2T的交换能力，更好地满足IPTV等大带宽业务和IDC机房的接入需求。S9300系列交换机可以扩展到3.84T交换容量，单槽位支持240G线速转发，充分考虑未来35年的带宽需求，提供带宽平滑扩展能力。六项创新，省电30%S9300基于绿色环保理念设计，独特的“变流”芯片，实现按流量动态调整功率，降低功耗8%。独特的“旋转”风道设计，提高整机散热效率，降低功耗3%，同时整机出线能力提高6倍。“积木式”电源，按需配置，减少初期投资，降低设备功耗10%。独立风扇分区控制，降低噪声10%，并延长风扇使用寿命。风扇智能调速，根据关键器件温度，灵活调整风扇转速，降低功耗3%，提高风扇抗扰动能力，延长风扇寿命。真正的端口休眠技术，可以依据端口实际流量调整输出功耗，降低功耗6%，节电“不丢包”。产品规格项目S9303S9306S9312背板容量1.2Tbps2.4Tbps4.8Tbps业务槽位3612GE端口密度14428857610G端口密度3672144VLAN支持Access、Trunk、Hybrid方式 支持default VLAN支持VLAN 交换支持QinQ、增强型灵活QinQMAC地址功能支持MAC地址自动学习和老化支持静态、动态、黑洞MAC表项支持源MAC地址过滤支持基于端口和VLAN的MAC地址学习限制STP支持STP，RSTP和MSTP支持BPDU保护、Root保护、环路保护支持BDPU TunnelIP路由支持RIP、OSPF、ISIS、BGP等IPv4动态路由协议支持RIPng、OSPFv3、ISISv6、BGPv4等IPv6动态路由协议组播支持IGMP Snooping功能支持用户快速离开机制支持组播流量控制支持组播查询器支持组播协议报文抑制功能支持组播ACLMPLS支持MPLS基本功能支持MPLS OAM支持MPLS TE支持MPLS VPN/VLL/VPLSQoS支持基于Layer2协议头、Layer3协议、Layer4协议、802.1p优先级等的组合流分类支持ACL、CAR、Remark、Schedule等动作支持PQ、WRR、DRR、PQ+WRR、PQ+DRR等队列调度方式支持WRED、尾丢弃等拥塞避免机制支持流量整形配置与维护支持Console、Telnet、SSH等终端服务支持SNMPv1/v2/v3等网络管理协议支持通过FTP、TFTP方式上载、下载文件支持BootROM升级和远程在线升级支持热补丁支持用户操作日志安全和管理命令行分级保护，未授权用户无法侵入支持RADIUS和HWTACACS用户登录认证支持防DoS攻击、TCP的SYN Flood攻击、UDP Flood攻击、广播风暴攻击、大流量攻击支持CPU通道的保护支持ICMP实现ping和traceroute功能支持RMON机箱尺寸mm（宽深高）442476175442476442442476664机箱重量（空配）15Kg30Kg45Kg工作电压DC：38.4V72VAC：90V264V典型功耗180W350W650W整机供电能350W800W1600W订购信息1、Quidway S9300主机选购一览表产品描述S9303总装机箱S9306总装机箱S9312总装机箱2、Quidway S9300交换路由处理板选购一览表产品描述S9306/S9312交换路由单元S9303主控处理单元增强灵活业务子卡3、Quidway S9300业务单板选购一览表产品描述48端口百兆以太网光接口板48端口百兆以太网电接口板48端口百兆/千兆以太网光接口板48端口百兆/千兆以太网电接口板24端口百兆/千兆以太网光接口板24端口百兆/千兆以太网光接口和8端口百兆/千兆Combo电口板4端口万兆以太网光接口板2端口万兆以太网光接口板3.5.2 Oceanspace S2000系列存储系统概述华为赛门铁克Oceanspace S2000系列（以下简称S2000）产品是中国第一款拥有完全自主知识产权的存储。融合了高密、接口模块化设计、多重数据保护技术，满足数据库等应用系统、备份、数据中心等不同的存储资源部署需求。产品特点高性能64位系统架构：64位多核处理器，64位系统总线，64位实时操作系统交换体系架构：交换架构，高性能，低延时；硬盘独立，单个硬盘故障不影响其他盘，便于故障检测和排除高密设计：硬盘框4U高度，可容纳24块硬盘，产品占用空间小，扩1个硬盘框能扩展24块硬盘，大幅降低扩容成本高可靠全冗余模块化设计：冗余控制器，1+1冗余电源/风扇模块；冗余掉电保护电池一体化UPS技术：UPS集成在控制框，节省机架空间；意外掉电时，可以保证Cache数据可安全写入数据保险箱；恢复供电后，可以把数据保险箱的数据恢复到Cache中，保证Cache数据不丢失硬盘坏道修复技术：最大限度修复硬盘坏道，将硬盘故障率降低50%，延长硬盘寿命硬盘预拷贝技术：提前发现故障盘，主动迁移故障盘数据，规避系统降级的风险，有效降低两个硬盘同时故障导致数据丢失的概率灵活灵活组网：iSCSI主机口满足与IP网络无缝融合的组网需求；SAS主机口满足高性价比的组网需求；FC主机口满足高速率、高可靠的组网需求控制器选配：单控制器配置满足低成本需求，平滑升级到双控制器配置，满足高性能、高可靠的需求分级存储：支持SAS/SATA硬盘混插，可以根据业务级别选择存储介质便捷便捷管理：支持图形化GUI及CLI管理方式，提升管理效率；支持LUN后台格式化，压缩设备安装及配置时间便捷维护：主要模块及硬盘组件支持热插拔，减少维护复杂性；支持Web和Modem拨号等远程管理能力，增加维护及时性；提供声光、短信等告警模式，确保设备故障信息不会被忽视或遗漏产品规格型号S2100S2300硬件特性存储处理器64位多核处理器标配缓存(可扩展) 单控2GB、双控4GB控制器数量1 or 2标配主机端口(可扩展) 单控:2个43Gb SAS或2个1Gb iSCSI 双控:4个43Gb SAS或4个1Gb iSCSI单控:2个4Gb FC或4个1Gb iSCSI 双控:4个4Gb FC或8个1Gb iSCSI硬盘数量(可扩展)单控 48 /双控 96硬盘规格SATA硬盘： 500GB/1TB（7200 rpm） SAS硬盘：300GB/450GB（15k rpm）硬盘密度24个/框性能特性主机连接数量(可扩展)128128LUNs(可扩展)5121024RAID特性RAID支持能力0、1、5、10等可靠性冗余保护能力控制器、电源、风扇、UPS模块、级联模块（硬盘框）热备盘全局热备、预拷贝掉电保护数据保险箱、一体化UPS技术主机兼容性支持的操作系统Windows、Linux、Solaris、HP-UX、AIX、FreeBSD、VMware等软件特性主机多路径UltraPath（for Windows/Linux/AIX）、STMS(for Solaris）、PV-Links（for HP-UX）管理特性管理界面Web GUI、CLI等SAN资源管理LUN动态调整故障告警网管界面告警、声光告警、XX告警、短信告警远程管理支持Web远程登录模式、支持Modem拨号连接，命令行配置物理特性电源AC 200V240V(50/60Hz), DC -48V -60V功耗（控制框）单控：交流：725W/直流：625W 双控：交流：828W/直流：728W单控：交流：725W/直流：674W 双控：交流：835W/直流：775W功耗（硬盘框）单控：交流：668W/直流：617W 双控：交流：680W/直流：630W单控：交流：668W/直流：617W 双控：交流：680W/直流：630W尺寸4U，175mm(H)*446mm(W)* 600mm(D)重量不带硬盘45Kg（控制框）；38Kg（硬盘框）4 安全解决方案4.1 安全体系层次设计由于本次*电业局属于新建系统，因此整个*电业局网络安全的需全方位的、整体的，相应的网络安全体系也是分层次的，在不同层次反映了不同的安全问题。根据第三章中我单位对于安全的风险分析，我单位将安全体系的层次划分为五层：物理层安全、系统层安全、网络层安全、应用层安全、安全管理。4.1.1 层次一：物理环境的安全性（物理层安全）包括通信线路的安全，物理设备的安全，机房的安全等。物理层的安全主要体现在通信线路的可靠性（线路备份、网管软件、传输介质）；软硬件设备安全性（替换设备；拆卸设备；增加设备）；设备的备份；防灾害能力、防干扰能力；设备的运行环境（温度、湿度、烟尘）；不间断电源保障，等等。4.1.2 层次二：操作系统的安全性（系统层安全）这一层次的安全问题来自网络使用的操作系统：Windows 2003，Windows 2000，Unix等。系统层的安全性问题表现在三方面：一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞等；二是对操作系统的安全配置问题；三是病毒对操作系统的威胁。4.1.3 层次三：网络的安全性（网络层安全）该层次的安全问题主要体现在网络信息的安全性。包括网络层身份认证，网络资源的访问控制，数据传输的与完整性，远程接入的安全，域名系统的安全，路由系统的安全，入侵检测的手段，网络设施防病毒等。4.1.4 层次四：应用的安全性（应用层安全）该层次的安全考虑提供服务所采用的应用软件和数据的安全性，包括：Web服务、电子系统等。此外，还包括病毒对系统的威胁。4.1.5 层次五：管理的安全性（安全管理）安全管理包括安全技术和设备的管理，安全管理制度，部门与人员的组织规则等。管理的制度化程度极影响着整个网络的安全，严格的安全管理制度、明确的部门安全职责划分、合理的人员角色定义都可以在很大程度上降低其它层次的安全漏洞。4.1.6 总体部署*电业局的安全问题是一个系统工程，我单位在制定安全网络策略时尽可能地考虑到网络中的各个方面及网络的拓展性，采用TCP/IP协议进行网络通信的网络，在网络层对计算机通信进行安全保护是业界流行的安全解决办法。综合考虑*电业局的实际安全状况，本方案中我单位从以下几个方面来采取相应的安全措施：1. 采用VLAN技术2. 部署防火墙3. 部署入侵检测系统4. 部署安全审计系统以上部署的安全产品在严格按照电子政务信息安全要求标准基础上，并遵循稳定性、先进性、可扩展性等原则进行选型。*电业局的安全管理部门应根据管理原则和*电业局数据处理的性，制订相应的安全管理制度或采用相应的安全规。可根据工作的重要程度，确定该系统的安全等级；及根据确定的安全等级，确定安全管理的围。4.2 入侵检测系统部署4.2.1 安全风险分析随着网络基础设施及其应用的不断丰富，基于网络的各种安全事故也不断出现。造成这些网络安全事故最根本的原因是设计网络基础协议时主要考虑的协议的互联互通性，很少考虑协议可能存在的安全漏洞，当这些安全漏洞被恶意的人们利用就出现了层出不穷的安全事件。但是当人们发现这些问题逐渐影响正常网络甚至业务运行的时候，再去修改这些相关基础应用协议代价太大。因此作为亡羊补牢的方式，出现了相关的网络安全防护产品。比如说防火墙、防病毒产品等等。然而，防火墙无确分析掺杂在允许应用数据流中的恶意代码，很多攻击或者恶意的行为常常利用防火墙开放的应用数据流来造成破坏。这就有必要提供专门针对各种应用数据流进行完整重组、判断其是否为正常数据包的产品。这种产品就是入侵检测系统（Intrusion Detection System），入侵检测系统通过对计算机网络或计算机系统中的若干关键点信息进行分析，可以从中发现网络或系统中违反安全策略的行为和被攻击的迹象，实时作出响应。入侵检测系统分为基于网络的入侵检测系统（NIDS）和基于主机的入侵检测系统（HIDS）。华为公司推出即是基于网络的智能网络入侵检测系统（以下简称NIP）。4.2.2 安全风险解决NIP网络智能入侵检测系统是华为自主开发，拥有知识产权的新一代基于会话的智能网络入侵检测系统。采用异常使用模式（Anomaly）和误用检测模式（Misuse）相结合的检测方式，部署于网络中的关键点，实时监控各种数据报文及网络行为，提供及时的报警及响应机制。其动态的安全响应体系与防火墙等静态的安全体系形成强大的协防体系，大大增强了用户的整体安全防护强度。4.2.3 智能网络入侵检测设备华为公司凭借在电信领域多年的技术积累，深刻的认识到可靠性设计对于一个网络设备的重要性。华为防火墙从硬件到软件，从每个部件到整体构架都进行了深入的分析和考虑，在设计的每个环节都融入了可靠性的设计理念，保证从根本上为用户提供了安全可靠的网络环境，使得华为防火墙成为了一款真正安全的电信级高可靠的防火墙设备。华为防火墙的硬件平台全部采用高可靠的元器件设计，保证了防火墙的硬件平台可以24小时不间断工作，这方面的硬件设计是很多防火墙厂商无法保证的，通过对硬件平台精益求精的设计使得华为防火墙有了一个稳定运行的基石。1. 强大的入侵检测能力NIP置强大的IP分片功能、智能协议解码器、高效的TCP流重组及细粒度的会话分析功能，可以迅速、准确地检测各种攻击行为。同时 NIP具有2000余种入侵特征库，可以检测DoS、扫描、代码攻击、后门等多种入侵攻击。有效降低漏报和误报。2. 灵活的响应方式NIP置强大的IP分片功能、智能协议解码器、高效的TCP流重组及细粒度的会话分析功能，可以迅速、准确地检测各种攻击行为。同时NIP具有3000余种入侵特征库，可以检测DoS、扫描、代码攻击、后门等多种入侵攻击。有效降低漏报和误报。NIP对检测到的入侵企图或违背已设定的安全策略的活动做出实时响应，并提供多种响应方式。包括：l 切断与入侵有关的会话。l 通过移动发送报警消息。l 通过电子发送报警信息。l 运行用户指定的应用程序。l 在Windows操作系统事件日志中记录报警。l 将与入侵有关的信息保存在数据库中。l 联动防火墙。当有入侵事件发生时，入侵检测系统向防火墙发送消息，防火墙将动态生成规则，阻断入侵者。3. 增强的安全性NIP 提供根据入侵信息发出入侵警报以及限制网络访问等功能，以保护服务器免受外部和部的攻击。NIP通过简单易用的管理界面和入侵检测、入侵阻断、入侵报警、入侵日志等功能，提供最佳的策略来增强 Internet 商业环境的安全性。 NIP特别适用于需要极高网络安全性的机构，例如：审计机构、安全顾问机构、安全法律执行机构、大型企业、Internet 服务提供商、培训机构以及涉及敏感信息的政府机构等。NIP 采用stealth技术，有效地防止入侵检测系统的暴露，提高入侵检测系统自身的安全性。4. 强大的报表功能NIP 提供基于Crystal Report的报表功能。可提供100余种报表样式，同时还可实现自定义报表的功能。5. 分级用户管理NIP的管理员类型包括三种：超级管理员、普通管理员和只读管理员。l 超级管理员：具有超级权限，可以进行任何操作。l 普通管理员：可以对授权的引擎进行查询、配置、编辑。l 只读管理员：只能对授权的引擎进行日志查询操作。不同级别的管理员拥有不同的管理权限，最大限度的保证了NIP的系统安全。6. 检测并分析各种入侵行为NIP采用基于协议分析的智能模式匹配，结合状态分析技术和异常行为检测技术，大大提高了检测的准确度，减少了漏报、误报现象。通过高效的模式匹配算法，大大提高了检测效率。置2500种以上入侵规则，提供对DoS、扫描、代码攻击、病毒、后门等各种攻击的检测能力。基本的检测功能包括下面几种：蠕虫检测NIP实时跟踪当前最新的蠕虫事件，同时针对已经发现的蠕虫及时提供相关的事件规则。对于存在漏洞但是还未发现相关蠕虫事件的情况，通过分析其漏洞提供相关的入侵事件规则，最大限度地解决蠕虫发现滞后的问题。协议解码NIP对常用网络应用层协议解码分析，记录网络中的异常行为。用户可以方便的自定义基于TCP/IP各种协议的分析事件，如：、SMTP、FTP、Telnet等应用层协议连接、关闭；pop3命令连接请求、应答，各种应用层协议的关键字解码等。IP碎片重组NIP对所监视网络中的IP 碎片报文重组后进行分析，防止IP 碎片欺骗。日志风暴处理NIP可以将一定时间围的同种攻击类型事件合并成同一条事件，在控制台显示并记录攻击次数，防止控制台的日志风暴。协议过滤和误报处理NIP能够对不需NIDS记录的某类TCP/IP协议的数据流进行过滤处理。同时，可以根据事件规则名和事件发生的源或目的绑定对事件进行排除，避免无需上报的事件再次出现在控制台或给NIDS增加不必要的负担。7. 对安全事件做出响应NIP针对各个入侵事件提供实时响应功能，响应方式多种多样。主要包括：报警声音报警：设置声音报警后，当有事件发生时，控制台会发出不同的声音提示管理员。焦点窗口：设置焦点窗口后，当有事件发生时，即使控制台不是当前的焦点窗口，也会自动弹出成为焦点窗口，以使管理员及时发现发生的事件。报警灯显示：设置报警灯显示后，当有事件发生时，在控制台的左下角会有红色的报警灯闪烁，以提醒管理员。报警：设置好参数后，当有事件发生时，系统将向预先定义的信箱发送报警信息。短消息报警：设置好短消息参数后，当有事件发生时，系统向预先设置的手机发送短消息报警。执行报警器程序：通过拷贝AlertMessenger.exe和AlertMessenger.ini两个文件，不需要安装完整的控制台程序也可以实时显示报警信息。SNMP Trap报警：当有事件发生时，向网络的网管软件发送SNMP Trap消息报警。生成日志生成常规审计日志：常规审计日志在控制台实时显示报警事件，同时记录到数据库中。生成详细审计日志：对设置详细审计日志的事件，系统会详细记录整个会话的过程，事后可以通过报文回放工具重现整个会话过程，以便管理员分析，并可作为证据保留。生成系统日志：在Windows操作系统日志中，生成记录。切断会话针对TCP连接，可以通过TcpRest的方式切断入侵会话。执行程序执行本地程序。联动防火墙当有入侵事件发生时，入侵检测系统向防火墙发送消息，防火墙将动态生成规则，阻断入侵者的入侵，以保护网络的安全。8. 监控系统的活动和状态除了提供入侵检测功能外，NIP还提供对各种信息和状态的监控功能：引擎状态监控管理员可以实时查看引擎的状态，包括资源的使用情况和监听网卡的网络流量（当前会话数、当前流量、每秒报文数和每秒丢包数），通过显示每秒丢包数，可以及时发现网络中出现的异常情况。服务器工作状态监控网络中存在很多提供应用服务的服务器，如：Web服务器、FTP服务器、服务器等，这些服务器一般情况下都需要24小时运行，因此需要实时监控这些服务器是否正常运行。通过服务器工作状态监控功能，用户可以及时发现服务器的存活状态和相应服务的运行情况，以便第一时间发现并解决问题，最大限度地减少由于这些服务器不能正常运行而造成的损失。监控监控可以对通过SMTP、POP3、IMAP和Web传送的信息进行监控，以避免泄漏敏感信息。MSN监控NIP可以对MSN的会话进行监控。文件传输监控NIP以对通过FTP或MSN传输的文件进行监控，以避免泄漏敏感信息。实时会话监控系统可以实时显示当前会话列表。针对每一个会话，用户可以查看并记录会话容，或者切断该会话。有害站点监控NIP可以对黄色和暴力等有害站点的访问进行监控。多端口监听NIP可以为每个引擎定义多个监听端口，以保护不同网段。默认配置有三个接口：管理、监听和扩展。其中：管理口负责与控制台进行通信；监听口负责监视网络流量；扩展口满足可扩展性。经过配置，引擎可以同时对多个端口进行监听，以适应不同的应用环境，如：支持跨网段监听、支持TAP设备等。9. 日志管理NIP的日志管理功能主要包括：日志查询：根据风险级别设置不同的颜色显示。日志备份：将日志信息备份到指定的目录下。日志同步：从各引擎接收最新的日志信息。日志删除：删除当前的日志记录。日志压缩：通过压缩可以释放未使用的空间。同时提供备份文件信息记录和显示功能，防止备份文件的丢失。10. 统计功能入侵统计NIP可以按风险级别和事件类型对入侵事件进行统计，还可以按照一定周期查看入侵统计的发展趋势。流量统计NIP的控制台可以从引擎获得网络流量信息，包括Web流量统计，网络流量统计，入侵网络流量统计，以及实时流量统计等，并可通过小时统计、日统计、月统计、年统计等多种方式显示流量统计结果。4.2.4 NIP 1000性能指标项目NIP1000性能设备类型电信级4 探头千兆入侵检测吞吐量1.6G检测效率100M网络环境下漏报率：低于1%1000M网络环境下漏报率：低于5%攻击特征攻击特征数：30大类3000余条规则响应方式日志记录/TCP连接主动切断/重新配置边缘设备（如交换机、防火墙）/XX告警/SNMP TRAP告警/SYSLOG告警机柜尺寸（宽深高）425 mm x 652 mm x88 mm满配置时最大重量15kg整机最大功耗400W电源要求交流输入电压：220VAC30%处理器2个Intel XEON2.4GHz存2G接口类型两个个10/100/1000M探测端口(电口)两个1000M探测端口（光口）一个100管理端口(电口)一个配置串口4.3 终端安全管理系统部署4.3.1 终端安全管理系统系统的设计开发中完全遵从国际和国的相关行业标准和软件工程管理规，并完全采用通用化和模块化设计，保证了系统的可扩充性，允许用户开发新的安全策略来满足更灵活的安全需求，可以使有安全问题的终端无法接入网络，或是在接入网络之前已经消除了自身的安全问题，从而保证了整个网络的安全。概念设计阶段就充分考虑了大中型企业网络的应用特点，从部署、扩容、管理和性能等多方面进行了充分验证，系统中的SPS、SRS系统可以灵活的部署在企业网络的任何地方，SACG设备也可以根据网络情况进行灵活配置，服务器端采用专用端口和协议，并嵌防火墙技术，可防止黑客和病毒的攻击；Agent软件自身进行了加密处理，可防止黑客篡改和假冒Agent；Agent与SPS之间采用专有通信协议，认证信息和通讯信息进行加密处理，并加入时间戳，可防止黑客的假冒、篡改和重演攻击； 客户端认证采用用户名、密码、IP地址、MAC地址等多因素绑定方式，保证了认证的可信度。客户端Agent软件可通过网络自动升级，不会影响用户终端的使用，十分利于大规模网络的实施和管理。一个用于审计监控的安全系统，首先要考虑使用管理上的安全性。Secospace系统在设计上对审计人员和管理人员的职能划分采取了分级分权管理，确保每一个人的操作都会被审计被监控，从而保证了使用的安全性。系统的扩容可简单通过添加SACG设备和SPS服务器来实现。系统提供非常方便的各种日志的查询功能，多种形式的审计报表，帮助审计人员更好完成审计工作。1. 安全防护功能终端安全防护系统主要是通过身份认证和安全策略检查的方式，对未通过身份认证或不符合安全策略的用户终端进行网络隔离，并帮助终端进行安全修复，以达到防不安全网络用户终端给安全网络带来安全威胁的目的。终端安全性检查Windows、应用程序补丁检查；防病毒软件版本、病毒特征库版本检查；违规软件安装检查；共享目录检查；屏幕保护密码检查；SQL Server版本检查。网络强身份认证检查用户名、密码认证；MAC地址认证；AD域认证；802.1x认证；Web认证；设备指纹与用户名绑定认证与AD域结合进行认证SecoSpace可以与微软AD域管理器进行结合，把AD的用户/信息同步到SecoSpace系统中来。用户在认证的时候把AD域作为信任对象，认证过程中从终端取得域信息直接进行认证。详细功能点包括：域信息同步；SecoSpace服务器通过配置AD域服务器信息，自动同步AD域服务器上的信息到SecoSpace服务器上，作为域认证的一句。终端域信息获取；SecoSpace客户端能够根据用户登录的情况，提取域信息。域认证。在SecoSpace的认证界面中自动添加域信息，用户可以做简单的点击进行认证隔离重大安全隐患隔离未授权外部计算机接入网络；隔离未打补丁的终端，防止被病毒感染；隔离其它安全策略要求隔离的终端。系统安全加固Windows、应用程序补丁协助安装；必须安装的软件协助安装；用户终端安全配置的协助修复；个性化安全帮助；主机防火墙。方便强大的系统管理功能用户和群组管理；策略定义管理；统计查询管理；用户上网日志管理；实时安全公告。4.3.2 安全监控功能审计员：查看审计系统日志，监控管理员和用户行为，审计员权限与管理员权限分离。管理员：负责系统运行参数的增加、删除和修改。能够查看部分审计策略定义。根据实际审计需要，向所管辖部门（权限围的部门）的用户终端下达各种审计监控任务，生成各种审计报表。用户：接受审计监控，进行本机自检。Secospace终端安全管理系统支持两种审计监控模式：依据安全策略执行的持续监控审计模型基于任务执行的单次审计模型对于第一种模式，企业的安全策略下发到Secospace安全代理，Secospace安全代理实时监测终端用户的行为，并且把安全策略要求采集的事件上报Secospace服务器。管理员可以根据这些上报的安全事件，分析企业的安全状况，并且生成相应的报表。对于第二种模式，管理员可以根据临时的需要，采集当前网络中的某个特定的状态或者事件。例如，防病毒系统发布新病毒升级包后，管理员希望查看当前网络中病毒升级包的安装和部署情况，可以针对这一个单一的事件，生成一个审计任务，下发到所有或者部分的Secospace安全代理；Secospace安全代理根据这个任务进行采集和上报。4.3.3 资产管理应用功能终端安全管理系统支持资产收集以及管理功能。包括计算机硬件信息、软件信息、操作系统信息的采集和上报功能，资产变更的上报功能，并且提供查询以及统计功能。在服务器端，提供对资产管理的报表功能，管理员利用该功能，实现对网络中所有资产及其变化的掌控。4.3.4 安全接入控制网关应用采用华为的Eudemon防火墙作为安全接入控制网关。根据安全策略服务器的指示打开用户的权限。可以为不同的域分配不同的权限，通过让用户归属不同的域到达控制用户的不同权限，并且可以做到基于端口级、时间段的控制。还可以为不同等级的用户指定不同的带宽。同时Eudemon防火墙具有强大的抗攻击能力，防恶意终端的各种攻击，保证网络的正常运行。在用户访问网络的过程中，可以对用户使用网络资源进行审计。另外我们防火墙是基于NP架构的，具有非常很高的处理性能。4.3.5 Secospace系统性能指标项目Secospace性能网络带宽占用率传数据时， 5%CPU资源占用率执行任务时， 5%管理终端数单台SPS应用服务器可管理5000个终端用户SACG设备容量单台SACG设备可支持02000个并发用户（Eudemon300:4000并发用户；Eudemon500：10000并发用户；Eudemon1000：20000并发用户；）GUI友好性用户界面结构清晰，易于操作，符合一般操作习惯32 / 32